La CGUE sente il caso dei trasferimenti di dati UE-USA (Clausole contrattuali standard e Privacy Shield)

Lug 08, 2019

Scaricare: Comunicato stampa

A causa di una serie di richieste, abbiamo riassunto i fatti chiave del caso dinanzi alla Corte di giustizia dell'Unione europea (CGUE) sui trasferimenti di dati UE-USA e la sorveglianza di massa da parte del governo statunitense. Il caso sarà esaminato domani (9:00, martedì 9 luglio) davanti alla Grande Camera della Corte di Giustizia.

Malintesi comuni del caso

  • Si tratta di tutti i trasferimenti di dati UE-USA? No, riguarda solo i trasferimenti verso gli Stati Uniti che sono soggetti a "sorveglianza di massa". Nella maggior parte delle situazioni, ci sono modi semplici per evitare la sorveglianza di massa e molti settori industriali (ad esempio banche, compagnie aeree, commercio e banche) non rientrano in nessuna di queste leggi sulla sorveglianza di massa. La denuncia del signor Schrems riguarda solo Facebook, che nel documento di Snowden è nominato come aiuto alla NSA con la sorveglianza di massa sotto "PRISM".
  • E' questo il caso di tutti i trasferimenti internazionali di dati dell'UE? Tra le parti coinvolte nella procedura, solo il Commissario irlandese per la protezione dei dati ritiene che le "clausole contrattuali standard" (SCC) non siano valide. Il sig. Schrems ritiene che (se correttamente applicate e fatte rispettare dal DPC) le SCC forniscano una soluzione adeguata. Nessun'altra parte della procedura irlandese oltre al DPC ha sollevato questioni di validità.
  • Tutti i trasferimenti di dati verso gli Stati Uniti sono problematici? No. Le leggi sulla sorveglianza come la FISA 702 si applicano solo ai "fornitori di servizi di comunicazione elettronica". Il diritto europeo distingue inoltre tra i trasferimenti necessari (ascoltare nelle deroghe) e l'inutile "outsourcing" dell'elaborazione. In combinazione, il problema si pone soprattutto con i fornitori di servizi cloud e di comunicazione che rientrano nelle leggi di sorveglianza (ad es. Facebook, Google, Apple, Amazon Web Services), ma non con altri settori industriali o trasferimenti di dati "necessari" (ad es. e-mail, prenotazioni e simili).
  • Il sig. Schrems sostiene di invalidare le CGUE? No. Il sig. Schrems sostiene che gli SCC consentono al Commissario irlandese per la protezione dei dati di bloccare i trasferimenti di dati individuali, come quello di Facebook. Poiché esiste una soluzione ovvia al problema, a suo parere non vi è alcuna questione di validità.
  • Il "Privacy Shield" è sul tavolo? Sì. Facebook si è basato sulla valutazione della Commissione Europea della legge statunitense nel "Privacy Shield" e sostiene che tale valutazione dovrebbe applicarsi anche alle "Clausole contrattuali standard". Il sig. Schrems a sua volta ha sostenuto che questa valutazione della Commissione è sbagliata. Poiché il Privacy Shield si basa su una falsa interpretazione della legge statunitense, dovrebbe essere invalidato
  • Sarà ancora possibile inviare e-mail agli Stati Uniti o prenotare un volo? Sì. L'articolo 49 GDPR prevede "deroghe" che consentono tutti i trasferimenti di dati se sono ad esempio "necessari per fornire un contratto" o se l'utente ha esplicitamente acconsentito. Ad esempio: È necessario inviare un'e-mail negli Stati Uniti se il destinatario è presente, ma non è necessario inviare e-mail attraverso gli Stati Uniti se il mittente e il destinatario si trovano in Europa.
  • Che tipo di trasferimento può essere necessario interrompere? Fondamentalmente "outsourcing" del trattamento dei dati che potrebbe essere fatto anche in Europa o in altri paesi che forniscono adeguati standard di protezione dei dati.

Cronologia del caso

Il caso è incentrato su una denuncia dell'avvocato della privacy Max Schrems contro Facebook nel 2013 (link alla denuncia). Più di sei anni fa, Edward Snowden ha rivelato che Facebook consente ai servizi segreti statunitensi di accedere ai dati personali degli europei sottoposti a programmi di sorveglianza come "PRISM" (vedi Wikipedia). Il reclamo cerca di fermare i trasferimenti di dati UE-USA di Facebook. Finora il DPC irlandese non ha intrapreso alcuna azione concreta in tal senso.

Primo rifiuto e sentenza della CGUE sull'approdo sicuro

Il caso è stato dapprima respinto dal Commissario irlandese per la protezione dei dati (DPC) nel 2013, poi sottoposto al controllo giurisdizionale in Irlanda e al ricorso alla Corte di giustizia dell'Unione europea (CGUE). La CGUE ha stabilito nel 2015 che il cosiddetto accordo "Safe Harbor" che consentiva il trasferimento di dati UE-USA non era valido (collegamento alla sentenza nella causa C-362/14) e che il DPC irlandese doveva indagare sul caso, cosa che inizialmente si era rifiutata di fare.

Informazioni sull'uso delle "clausole contrattuali standard"

Sorprendentemente, il DPC ha informato Schrems alla fine del 2015 che Facebook in realtà non si era mai affidata all'ormai invalido accordo "Safe Harbor", ma si era invece affidata già nel 2013 alle "Standard Contractual Clauses" (un altro meccanismo per trasferire dati dall'UE agli USA). Il DPC aveva omesso di rivelare questo fatto e aveva invece suggerito che l'accordo "Safe Harbor" li bloccasse per procedere con il caso. Questa "deviazione" ha reso la prima decisione della CGUE irrilevante per il caso.

Seconda indagine e causa

Il sig. Schrems ha adattato il suo reclamo ai trasferimenti effettuati in base alle "Clausole contrattuali standard" e ha ugualmente richiesto la fine dei trasferimenti di dati a Facebook USA, sulla base dell'argomentazione che essi mettono i dati a disposizione della NSA. L'indagine del DPC è durata solo un paio di mesi da dicembre 2015 alla primavera 2016. Invece di decidere sulla denuncia, il DPC ha intentato una causa contro Facebook e il signor Schrems (entrambi sono ora imputati) presso l'Alta Corte irlandese nel 2016, per sottoporre ulteriori domande alla CGUE. Dopo oltre sei settimane di udienze che si sono svolte principalmente nel 2017, l'Alta Corte irlandese ha constatato che il governo statunitense si occupa di "trattamento di massa" di dati personali europei e ha sottoposto alla CGUE undici domande per la seconda volta (link alla sentenza) nel 2018.

Prossimi passi

La CGUE ha elencato il caso sotto la voce C-311/18 e lo ascolterà per la seconda volta il 9 luglio 2019 - a circa sei anni dalla presentazione della denuncia originaria. Una sentenza è prevista entro la fine dell'anno. Dopo la sentenza della CGUE, il DPC dovrà finalmente decidere sulla denuncia per la prima volta. La decisione potrebbe essere nuovamente oggetto di ricorso da parte di Facebook o del sig. Schrems.

Argomenti principali delle parti

  • Il Commissario irlandese per la protezione dei dati si unisce al sig. Schrems nella sua opinione che le leggi di sorveglianza statunitensi violano i diritti fondamentali alla privacy, alla protezione dei dati e ai mezzi di ricorso previsti dalla legislazione europea. Il DPC dice, tuttavia, che non ha alcun potere per risolvere la questione. Poiché il meccanismo di trasferimento dei dati utilizzato da Facebook (Standard Contractual Clauses) non prevede tale situazione, le clausole stesse devono essere invalidate. Ciò significherebbe che i trasferimenti di dati verso qualsiasi paese extracomunitario ai sensi di questo strumento dovrebbero essere bloccati.
  • Facebook ritiene che la legge degli Stati Uniti non vada al di là di quanto è legale secondo il diritto dell'UE. Facebook si chiede anche se l'UE abbia una giurisdizione sui casi di "sicurezza nazionale". In sintesi, Facebook non vede alcun problema a continuare a trasferire dati negli Stati Uniti in base a leggi di sorveglianza di massa come la FISA. Facebook si basa anche sulla valutazione della Commissione Europea della legge statunitense nella cosiddetta decisione "Privacy Shield", che afferma che le leggi di sorveglianza statunitensi sono conformi ai requisiti dell'UE.
  • Schrems è d'accordo con il DPC sul problema, ma propone una soluzione più misurata. La legge (art. 4 CCS) consente al CED di bloccare i singoli trasferimenti di dati (come quelli di Facebook). Schrems afferma che il CDC irlandese ha il dovere di agire, invece di rinviare il caso alla Corte di giustizia. In merito all'affidamento di Facebook sul "Privacy Shield", il sig. Schrems ritiene che la decisione sul Privacy Shield della Commissione Europea non descrive adeguatamente le leggi di sorveglianza degli Stati Uniti, non è nemmeno lontanamente in grado di fornire un'adeguata protezione della privacy, e deve quindi essere invalidata.
  • Commissione Europea: La Commissione Europea è tenuta a difendere entrambe le sue decisioni: Le clausole contrattuali standard e lo scudo protettivo. Probabilmente si schiererà dalla parte degli Stati Uniti e di Facebook, ritenendo che non vi sia alcuna violazione dei diritti fondamentali negli Stati Uniti, ma riconoscerà anche che il DPC ha il potere di risolvere la questione da solo se la CGUE vede una violazione dei diritti fondamentali negli Stati Uniti.

Dichiarazione del signor Schrems

Max Schrems, presidente di noyb: "Proponiamo una soluzione misurata: Il DPC irlandese deve semplicemente far rispettare le regole in modo adeguato, invece di rispedire il caso in Lussemburgo. Questo caso è pendente da sei anni. In questi sei anni, il DPC ha effettivamente deciso in un solo 2-3% dei casi che gli sono stati sottoposti. Non abbiamo un problema con le "clausole contrattuali standard", abbiamo un problema di applicazione"

noyb

noyb è una nuova organizzazione europea senza scopo di lucro che fa valere il diritto alla privacy attraverso il contenzioso. Essa sostiene questo caso ed è a sua volta sostenuta da più di 3.500 membri donatori.

Cifre chiave

Le parti in giudizio sono il Commissario irlandese per la protezione dei dati, Facebook Ireland Ltd, e Max Schrems. La Corte irlandese ha anche permesso a quattro "amicus curiae" (aiutanti neutrali della corte) di unirsi al caso, ovvero il governo degli Stati Uniti, l'Electronic Privacy Information Center (epic.org) e due organizzazioni di lobby del settore.

Tutti gli Stati membri dell'UE, la Commissione europea, il Parlamento europeo e l'European Data Protection Board (EDPB) hanno potuto presentare le loro osservazioni.

Uploads

MakePrivacyReal

Il nostro lavoro è reso possibile da più di 3.100 membri sostenitori - qualcuno di voi, magari?